请输入您要查询的百科知识:

 

词条 worm.win32.otwycal.g
释义

病毒名称: Worm.Win32.Otwycal.g

病毒类型: 蠕虫

文件 MD5: 4EB719473F0B2AECB412EC72F879D1B7

危害等级: 5

文件长度: 15,148 字节

感染系统: Windows98以上版本

开发工具: Microsoft Visual C++ 6.0

加壳类型: WinUpack 0.39

1、该病毒属蠕虫类,病毒运行后复判断进程列表中是否存在smss.exe进程,若不存在程序退出模块;

2、判断程序是否为%DriveLetter%\\MSDOS.bat,若是用资源管理器打开该驱动器后返回;

3、删除文件%Windir%\\Tasks\\0x01xx8p.exe后,将自身移动到该位置,并更改为该文件名;

4、检测进程中是否有avp.exe进程,如果有,修改系统时间为2004年1月1日9时1分,使卡巴主动防御过期失效,且每4000ms重新设置一次时间;

5、修改当前进程的令牌权限,复制%System32%\\spoolsv.exe到%Windir%\\Tasks\\poolsv.ext;修改%Windir%\\Tasks\\poolsv.ext,将最后一个节(.rsrc)节名改为.wycao,并在该节尾部写入病毒代码,复制%System32%\\spoolsv.exe到%System32%\\dllcache\\spoolsv.exe,移动%System32%\\spoolsv.exe到%Windir%\\Tasks\\poolsv.brk移动修改后的%Windir%\\Tasks\\poolsv.ext到%System32%\\spoolsv.exe,移动成功后退出,否则删除文件%System32%\\spoolsv.exe;移动修改后的%Windir%\\Tasks\\poolsv.ext到%System32%\\spoolsv.exe;

6、查找进程列表如果有avp.exe、kvsrvxp.exe、kissvc.exe进程,将其结束;

7、判断进程中是否有explorer.exe1进程,若存在使其崩溃;

8、创建线程连接网络下载35个病毒文件,一个为arp扫描工具,一个添加新用户,其他均为盗号工具;

9、试图创建线程对各类文件进行感染,未能成功;

10、复制自身到各驱动器根目录下,更名为MSDOS.bat,并衍生配置文件autorun.inf;

11、衍生zzz.sys到系统启动器根目录下,创建服务启动该文件后删除该文件,并将服务设置为禁用。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/1/12 7:34:30